Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
変換ルールはAPSによって使用されます。
次の例に示した変換ルールは、Access Managerによって提供されるデフォルト・ルールです。これらのOOTBルールをオーバーライドするようにクローンを構成できます。この項では、これらのルールの一部を変更する方法と、これらのカスタム・ルールを認識するようにAccess Managerを構成する方法について説明します。
デフォルトの変換ルール
<?xml version="1.0" encoding="UTF-8"?> <mdc-transform-rule> <changes-to-include entity-path="/policy"/> <changes-to-include entity-path="/config/NGAMConfiguration/DeployedComponent/Agent/WebGate/Instance"> <replace attribute-match="/*/PrimaryServerList/*/host" value-match="(.*)"> <replace-with n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with> </replace> <replace attribute-match="/*/UserDefinedParameters/logoutRedirectUrl" value-match="(.*)://(.*):(.*)/oam/server/logout"> <replace-with n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverprotocol}</replace-with> <replace-with n="2">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with> <replace-with n="3">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverport}</replace-with> </replace> <replace attribute-match="/*/logoutRedirectUrl" value-match="(.*)://(.*):(.*)/oam/server/logout"> <replace-with n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverprotocol}</replace-with> <replace-with n="2">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with> <replace-with n="3">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverport}</replace-with> </replace> </changes-to-include> <changes-to-include entity-path= "/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules"/> <changes-to-include entity-path= "/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/oamproxy"/> <changes-to-include entity-path= "/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/Sme/SessionConfigurations"/> <changes-to-include entity-path= "/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER"> <ignore attribute-match="/serverprotocol"/> <ignore attribute-match="/serverhost"/> <ignore attribute-match="/serverport"/> </changes-to-include> <changes-to-include entity-path="/config/NGAMConfiguration/DataCenterConfiguration/Cluster"> <ignore attribute-match="/DataCenterType"/> <ignore attribute-match="/ClusterId"/> <ignore attribute-match="/WriteEnabledFlag"/> </changes-to-include> </mdc-transform-rule>
これらの変換ルールによって、Webゲート・エージェント定義が変更されます。次の情報では、PrimaryServerList属性とlogoutRedirectUrl属性に関してこれらの変更を修正する方法について説明します。
PrimaryServerListはすべてのWebゲート・エージェントのプライマリ・サーバー・リストを更新し、クローン環境のAccess Managerサーバー・ホストでそれを置換します。この変更は、oam-config.xmlファイル内で確認できます。このファイル内のPrimaryServerList属性の値は、${DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}と等しい値に置き換わります(例: oam1-lon.example.com)。このルールには、プライマリ・リスト内のすべてのサーバーが更新されるという制限があります。
次の例の変換ルールを使用して、PrimaryServerList内のサーバーを別のクローン・サーバーで更新できます。
<changes-to-include entity-path= "/config/NGAMConfiguration/DeployedComponent/Agent/WebGate/Instance"> <replace attribute-match="/*/PrimaryServerList/0/host" value-match="(.*)"> <replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/ Instance/oam_server1/host"} </replace-with> </replace> <replace attribute-match="/*/PrimaryServerList/1/host" value-match="(.*)"> <replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/ Instance/oam_server2/host"} </replace-with> </replace> </changes-to-include>
ノート:
oam_server1
やoam_server2
などのOAM管理対象サーバーを、デプロイメント中に指定した名前で更新する必要があります。WebゲートとAccess Managerサーバーの間にはロード・バランサを使用することをお薦めします。この場合、複数のデータ・センターにわたってPrimaryServerListを更新する必要はなく、この変換ルールをXMLから削除できます。ただし、IAMSuiteAgentおよびaccessgate-oicのPrimaryServerListパラメータは更新する必要があります(これらのエージェントもロード・バランサと通信するように構成した場合を除く)。
次の例では、変換ルールを変更して、(Webゲート・エージェントではなく) IAMSuiteAgentおよびaccessgate-oicエージェントについてのみPrimaryServerListを更新する方法を示します。
<changes-to-include entity-path="/config/NGAMConfiguration/DeployedComponent/ Agent/WebGate/Instance"> <replace attribute-match="/IAMSuiteAgent/PrimaryServerList/*/host" value-match="(.*)"> <replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/ Profile/OAMServerProfile/OAMSERVER/serverhost"} </replace-with> </replace> <replace attribute-match="/accessgate-oic/PrimaryServerList/*/host" value-match="(.*)"> <replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/ Profile/OAMServerProfile/OAMSERVER/serverhost"} </replace-with> </replace> </changes-to-include>
logoutRedirectUrl attributeは、すべてのWebゲート・エージェントのログアウトURLプロトコル、ホストおよびポートを、クローンからのそれぞれの値で更新します。マスター環境ですべてのWebゲート・エージェントのログアウトURLを定義するためにロード・バランサをグローバルに使用している場合、クローン環境のログアウトURLを置き換える必要はなく、変換ルールを削除できます。DCCログインとログアウトURLを定義するためにDCC認証スキームおよびグローバル・ロード・バランサを使用している場合も、クローン環境のログインおよびログアウトURLを置き換える必要はなく、変換ルールを削除できます。
カスタム変換ルールを使用するようにAccess Managerを構成するには、クローン・マシンでsetDomainEnv.xml
ファイルを更新します。各クローンは異なる変換ルールを使用できます。変換ルールを変更した後は、必ずクローンのAdminServerを再起動してください。図19-3は、これらのカスタム・ルールの適用方法を示しています。